近日有一份針對 WhatsApp 安全報告指出,發現了一個基於堆棧的緩衝區溢出 bug,導致攻擊者可通過 MP4 影音文件執行遠程代碼從而入侵受害人手機。日前 Facebook 一方亦知悉該漏洞存在,並表示問題出在程式對 MP4 elementary stream metadata 的解析上。
若被利用,該漏洞可導致拒絕服務或遠程代碼執行攻擊。現時所知,涉及該 CVE-2019-11931 所引起的漏洞,無論是 Android 2.19.104 之前的 Android 商務版、以及 2.19.100 之前 iOS 商務版,還是 2.25.3 之前的企業版客戶端和 Windows Phone 版本,都容易受到此類攻擊。看來這個bug 影響的範圍還是不可以小看的。
儘管目前尚沒有該漏洞被黑客利用的報告,而 Facebook 還是建議 WhatsApp 用戶要避免受漏洞影響而被黑客入侵手機的話,必須盡快將 App 更新到最新版本,以降低風險。
